Het CrowdStrike 2026 Global Threat Report is geen rapport dat geruststelt. De onderzoekers van CrowdStrike documenteren een verschuiving die dieper gaat dan een stijging van aanvalsaantallen: de aard van cyberaanvallen is structureel veranderd.
Kunstmatige intelligentie fungeert niet langer als een experimenteel hulpmiddel voor aanvallers. Het is een operationele standaard geworden, en dat heeft directe gevolgen voor hoe snel aanvallen verlopen, hoe moeilijk ze te detecteren zijn en welke doelen in het vizier komen.
Wat maakt het CrowdStrike 2026 Global Threat Report anders dan voorgaande dreigingsrapportages
Vorige edities van het rapport beschreven een dreiging die weliswaar groeiende was, maar waarbij het tempo van aanvallen nog min of meer te behappen bleek voor goed uitgeruste beveiligingsteams. Dat beeld klopt in 2026 niet meer. De gemiddelde breakout time, de tijd tussen het moment dat een aanvaller initiële toegang verkrijgt en het moment waarop hij laterale beweging door het netwerk inzet, is gedaald naar gemiddeld 29 minuten. Dat is 65 procent sneller dan in 2024. De snelste geregistreerde aanval vond zijn weg in 27 seconden. In één gedocumenteerde inbraak begon data-exfiltratie al binnen vier minuten na de eerste toegang.
Die getallen zijn niet zomaar verontrustend. Ze bepalen de realistische responstijd voor een beveiligingsteam. Als een aanvaller binnen een halfuur door een netwerk beweegt, is menselijke detectie en respons zonder geautomatiseerde ondersteuning nagenoeg onmogelijk. Het rapport maakt daarmee duidelijk dat de maatstaf voor effectieve cyberbeveiliging is verschoven: niet langer gaat het alleen om het voorkomen van inbraak, maar om het vermogen om sneller te handelen dan de aanvaller.
AI als wapen: hoe aanvallers generatieve AI inzetten voor snellere en slimmere aanvallen
AI-ondersteunde aanvallen namen in 2025 met 89 procent toe ten opzichte van het jaar daarvoor. Dat stijgingscijfer omvat zowel statelijke actoren als criminele groepen, en de manier waarop zij AI inzetten loopt sterk uiteen maar heeft één gemeenschappelijk kenmerk: het versnelt en schaalt processen die vroeger handmatige inspanning vereisten.
De Russische dreigingsgroep FANCY BEAR ( in cybersecuritykringen een bekend begrip) introduceerde malware genaamd LAMEHUG, die gebruikmaakt van grote taalmodellen om automatisch verkennings- en documentenverzamelingstaken uit te voeren. Waar een operator vroeger zelf doelwitsystemen moest doorzoeken en informatie moest selecteren, doet de LLM dat nu geautomatiseerd. De criminele groep PUNK SPIDER gebruikte AI-gegenereerde scripts om credential dumping te versnellen en forensische sporen te wissen. Noord-Koreaanse actoren onder de noemer FAMOUS CHOLLIMA gingen nog een stap verder: zij zetten AI in om overtuigende nep-identiteiten te genereren waarmee zij als schijnbaar legitieme medewerkers bij organisaties werden geplaatst, een vorm van insider threat op industriële schaal.
Prompts als nieuwe malware: misbruik van GenAI-tools en AI-ontwikkelplatforms
Een bijzonder zorgwekkende bevinding betreft het misbruik van generatieve AI-tools zelf. Bij meer dan 90 organisaties injecteerden aanvallers kwaadaardige prompts in legitieme GenAI-toepassingen, waarmee zij de tools instructies gaven voor het stelen van inloggegevens en cryptocurrency. De aanvaller hoeft daarvoor geen kwaadaardige code te schrijven of te installeren: een zorgvuldig geformuleerde prompt is voldoende om een AI-assistent tegen de eigen organisatie te keren.
Daarnaast werden kwetsbaarheden in AI-ontwikkelplatforms actief misbruikt om persistentie te vestigen en ransomware te deployen. Aanvallers publiceerden ook nep-AI-servers die legitieme diensten imiteerden, met als doel gevoelige data te onderscheppen van gebruikers die dachten met een vertrouwde dienst te communiceren. In ons eerdere artikel over hoe cybercriminelen AI inzetten in elke fase van een aanval beschreven we de bredere context van deze ontwikkeling: AI fungeert voor aanvallers als een operationele versneller die de gehele aanvalsketen raakt, van verkenning tot monetisering.
Statelijke dreigingsactoren versnellen: China, Rusland en Noord-Korea domineren het dreigingslandschap
Het rapport maakt een duidelijk onderscheid tussen de operationele volwassenheid en focus van verschillende staatsgelieerde groepen. China-gelieerde actoren verhoogden hun activiteiten met 38 procent. De logistieksector had de sterkste toename in targeting, met een stijging van 85 procent. 67 procent van alle kwetsbaarheden die door China-gelieerde actoren werden misbruikt, resulteerde in directe systeemtoegang. Daarnaast richtte 40 procent van hun exploitaties zich op internet-facing edge devices, de randapparatuur die organisaties verbindt met externe netwerken en die traditioneel minder goed wordt gemonitord dan interne systemen.
Noord-Koreaanse dreigingsincidenten stegen met meer dan 130 procent. De activiteiten van FAMOUS CHOLLIMA meer dan verdubbelden in omvang. De meest opmerkelijke actie komt van de groep PRESSURE CHOLLIMA, die verantwoordelijk was voor de diefstal van 1,46 miljard dollar in cryptocurrency. De grootste financiële roof ooit gedocumenteerd in een cybersecuritycontext. Dat bedrag illustreert hoe lucratief staatsgelieerde cybercriminaliteit is geworden en hoe nauw de grens tussen geopolitieke spionage en financiële criminaliteit is vervagen.
Zero-days en cloudinfrastructuur als meest misbruikte aanvalsvectoren in 2025
42 procent van alle misbruikte kwetsbaarheden werd actief ingezet vóórdat een publieke disclosure of patch beschikbaar was. Dat betekent dat bijna de helft van de aanvallen plaatsvond in een venster waarin organisaties geen officieel beveiligingsbulletin hadden ontvangen en hun systemen per definitie niet gepatcht konden hebben. Zero-days worden ingezet voor initiële toegang, remote code execution en privilege escalation, de drie meest kritieke stappen in een aanvalsketen.
In onze analyse van het Google dreigingsrapport over zero-days in 2025 kwamen vergelijkbare patronen naar voren: kwetsbaarheden in enterprise-softwareproducten en edge devices worden systematisch eerder misbruikt dan patches beschikbaar zijn, wat het patchvenster als primaire verdedigingsstrategie fundamenteel onder druk zet.
Cloudomgevingen vormen een tweede groeiende aanvalsvector. Cloud-bewuste inbraken stegen overall met 37 procent. Staatsgelieerde actoren richtten zich daarin bijzonder fel op cloudinfrastructuur: hun cloudgerichte activiteiten namen met 266 procent toe, voornamelijk met als doel intelligence-verzameling. Het gaat daarbij niet alleen om het stelen van data, maar ook om het vestigen van langdurige toegang in omgevingen die moeilijker te monitoren zijn dan traditionele on-premises infrastructuur.
Wat de bevindingen in het onderzoek betekenen voor de beveiligingsstrategie van Nederlandse organisaties
Het rapport schetst een dreigingslandschap waarin drie aannames die jarenlang de basis vormden van cybersecuritybeleid, niet langer houdbaar zijn. Ten eerste: dat de tijd tussen detectie en respons ruim genoeg is voor handmatige afhandeling. Dat is bij een breakout time van 29 minuten niet het geval. Ten tweede: dat het patchen van kwetsbaarheden een betrouwbare primaire verdediging biedt. Met 42 procent zero-day exploitatie is dat onvoldoende. Ten derde: dat malware de voornaamste indicator is van een aanval in gang. Aanvallers gebruiken in toenemende mate legitieme tools, gestolen identiteiten en misbruikte AI-toepassingen, methoden die geen traditionele malwaresignatuur achterlaten.
Wat het rapport kernachtig samenvat: het gaat om een AI-wapenwedloop. Aanvallers comprimeren de tijd tussen intentie en uitvoering. Verdedigers moeten sneller opereren dan de aanvaller, en dat vereist automatisering, continue monitoring, gedragsgebaseerde detectie en een beveiligingsarchitectuur die identiteit en cloud net zo serieus behandelt als het traditionele endpoint.
Voor organisaties die hun beveiligingspostuur willen toetsen aan de dreigingen die in dit onderzoek aan bod komen, is het zinvol om concreet te kijken naar de detectietijd bij laterale beweging, de zichtbaarheid in cloudomgevingen en de bescherming rondom privileged identities. De dreigingen zijn reëel, gedocumenteerd en actief. De vraag is niet of een organisatie een doelwit kan worden, maar hoe snel zij een aanval die al begonnen is, kan onderkennen en stoppen.
Lees het hele onderzoek op https://www.crowdstrike.com/explore/2026-global-threat-report
